12 самых громких случаев ИТ-воровства в России

Информационная анархия – без преувеличения именно так можно охарактеризовать ситуацию с воровством корпоративных данных в России.

Хронология российских утечек

Первые утечки, зарегистрированные официально, восходят к началу 90-х годов, когда в начале в Москве, а потом и во многих городах России начали продаваться телефонные базы данных. В столице сразу стала доступна база МГТС на компакт-дисках, потом аналогичные продукты начали предлагаться на местных «горбушках» по всей стране. Легко догадаться, что расследование всех этих инцидентов если и было, то не принесло никакого результата. Также заметим, эти постоянно обновляемые базы данных доступны и сейчас в самом что ни на есть актуальном состоянии.

Дальнейшие утечки уже можно проследить по годам. Предлагаем ознакомиться с обобщающей таблицей инцидентов с 1996 по 2005 годы, а затем с некоторыми комментариями. Однако прежде заметим, что это лишь самые крупные утечки, оставившие свой след в прессе и официальных заявлениях.

Все эти инциденты позволили выявить ряд закономерностей, сопровождающих российские утечки. Прежде всего, эффективное расследование по факту кражи конфиденциальных данных проводили только коммерческие организации (операторы сотовой связи, регистратор и т.д.). Каждое такое разбирательство как минимум заканчивалось перекрытием канала утечки, а как максимум судебным преследованием и наказанием.

Например, после утечки 1996 года компания «ВымпелКом» провела расследование и сделала публичное заявление, согласно которому канал утечки был выявлен и перекрыт. Хотя конкретный источник не был озвучен, эффективность принятых мер налицо: базы тут же исчезли с прилавков.

Столь же показателен инцидент на рубеже 2002-2003 годов. Компания МТС среагировала столь же быстро, как и ее конкурент несколько лет назад. Несмотря на то, что имена и фамилии злоумышленников названы не были, можно поверить в заявление оператора сотовой связи о том, что канал утечки перекрыт. Растиражированная в начале 2003 года база не обновлялась и, следовательно, довольно быстро утратила актуальность.

Наконец, инцидент середины 2004 года был предан огласке благодаря активным действиям компании «ВымпелКом», сотрудники которой самостоятельно обнаружили преступный сайт в интернете, собрали доказательства и передали дело в МВД. В результате уже в конце осени 2004 года милиция арестовала шесть человек, трое из которых оказались сотрудниками самой компании «ВымпелКом». Всем подозреваемым были предъявлены обвинения по части 2 статьи 138 (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) и части 2 статьи 272 УК РФ (неправомерный доступ к компьютерной информации). Максимальное наказание за данные преступления – до 5 лет лишения свободы. Хотя о приговоре суда официальных сведений нет, это все-таки один из тех редких случаев, когда дело об утечке было доведено до суда.

В принципе в каждом из разобранных инцидентов пострадавшая организация реагировала должным образом: проводилось расследование, обнаруживался и перекрывался канал утечки, иногда злоумышленники попадали под суд. Все это не выглядело бы столь впечатляющим, если бы не было контраста с деятельностью в аналогичных ситуациях государственных организаций.

Возьмем, например, утечки 1998-2001 годов. На самом деле, для максимальной корректности, в таблице следовало написать «с 1998 года по сегодняшний день», так как все появившиеся в тот период базы данных по-прежнему доступны, как в ларьках, так и в интернете. Более того, базы постоянно обновляются, поэтому сегодняшний покупатель этой незаконной продукции приобретает актуальный товар. Другими словами, каналы утечки функционируют уже почти 10 лет.

С определенной периодичностью «радуют» утечками Центробанк и Министерство по налогам и сборам. Правда, Банк почти всегда признает свою вину, что отражается в заявлениях соответствующих лиц, а Министерство предпочитает игнорировать факты утечек, заявляя, что утечка произошла не у них и сама федеральная организация ни в чем не виновата. Точно также повел себя и Госкомстат осенью 2002 года.

Таким образом, контрастное отношение к проблеме со стороны коммерческих и государственных организаций налицо. Адекватная реакция частных компаний на подобные инциденты вполне объяснима: утечка чревата прямым финансовым уроном, потерей клиентов и долгосрочным снижением имиджа. Единственное же, чем можно объяснить низкие результаты ответных действий со стороны государственных организаций, это слабая мотивировка. Действительно, число «клиентов» или финансирование Министерства по налогам и сборам вряд ли хоть как-то изменятся вследствие даже вопиющей утечки.

Однако справедливости ради следует отметить, что Центробанк обеспокоен утечками конфиденциальной информации из своих стен значительно больше других государственных организаций. На это указывает недавнее заявление заместителя начальника Управления безопасности и защиты информации Московского главного территориального управления Банка России, Владимира Бабкина, сообщившего, что канал утечки информации по банковским проводкам перекрыт. Об этом он заявил 25 октября, на пресс-конференции в рамках Всероссийского форума «Банковская безопасность: состояние и перспективы развития». По словам Владимира Бабкина, с апреля текущего года ЦБ предпринял дополнительные меры, как по защите информации, так и по допуску сотрудников. Что касается выявления конкретных источников утечки информации, то это, по мнению представителя Банка, является прерогативой правоохранительных органов.

Несколько ранее обеспокоенность по поводу предотвращения утечек конфиденциальной информации высказала Татьяна Парамонова, первый заместитель председателя ЦБ РФ. На Всемирном экономическом форуме в России она сообщила, что специалисты Банка проверяли представленные на черном рынке базы данных, претендующие на свою принадлежность к ЦБ. Однако находившаяся в них информация оказалась недостоверной, что позволяет сделать вывод о том, что записи БД были скомпонованы опытными профессионалами, но об утечке из ЦБ и речи быть не может.

Как бы то ни было, пока на черном рынке действительно нет новых баз данных Центробанка, поэтому репутация этой организации под действием ободряющих высказываний различных исполнительных лиц постепенно восстанавливается.

Помимо вывода о контрастном отношении к утечкам со стороны частных и государственных организаций, детали инцидентов, перечисленных в обобщающей таблице, позволяют сделать еще один вывод: почти все утечки происходят с участием инсайдеров – сотрудников компании или министерства, имеющих доступ к конфиденциальной информации в силу служебных обязанностей.

Например, когда сотрудники компании «ВымпелКом» обнаружили в интернете сайт, который торгует приватными данными абонентов сетей «Билайн», МТС и «Мегафон», то ниточки привели именно внутрь самого оператора мобильной связи. Аналогично развивались события с другими «сотовыми» утечками, только в этих инцидентах виновные избежали судебного преследования.

«Недостаточный контроль над действиями своих же сотрудников часто перерастает в серьезные убытки для предприятия. В современной практике не редки случаи, когда инсайдеры сговариваются друг с другом, торгуют конфиденциальной информацией или осуществляют финансовое мошенничество в рамках самой компании. Последствия таких инцидентов очень плачевны: прямые убытки и снижение числа клиентов сопровождаются штрафами и судебными преследованиями со стороны регулирующего органа. Таким образом, над всеми операциями с чувствительными данными должен быть установлен прозрачный, но жесткий контроль», - считает руководитель отдела системного ПО компании «Гелиос Компьютер» Вячеслав Лупанов.

Далее, при более подробном рассмотрении обстоятельств последней утечки из Министерства по налогам и сборам, будет показано, что и она не обошлась без прямого участия инсайдеров.

2005 год – год инсайдеров

К сожалению, по-другому почти закончившийся год не назовешь. Во-первых, статистика самых авторитетных организаций (ФБР, Института компьютерной Безопасности, CERT и т.д.), отслеживающих глобальные и локальные тенденции в ИТ-безопасности, впервые наиболее четко показала превалирование внутренних угроз над внешними. Если в 2004 году можно было утверждать, что на долю инсайдерских атак приходится не более 40%, то сегодня эта цифра легко превысила 60%. Во-вторых, обобщающая таблица выше наглядно демонстрирует, что в России 2005 год ознаменовался, как минимум, четырьмя крупными утечками. Причем последние две буквально шокировали общественность. Остановимся на них подробнее.

23 октября 2005 г. в интернете появилось объявление о продаже базы данных одного из крупнейших регистраторов России – компании «НИКойл». Этот регистратор ведет реестры акционеров таких гигантов, как «Лукойл», МТС, «Скайлинк» и еще нескольких сотен корпораций национального масштаба. Любой желающий мог вступить в переписку с продавцом, оставившим свое объявление в форуме ресурса www.zahvat.ru в разделе «Враждебные поглощения». Автор сообщения заявил, что предлагаемая база актуальна на 1 августа, и запросил за нее 12 тыс. долларов. Инцидент тут же получил широкую огласку, а расследование, проведенное компетентными специалистами, позволило установить, что предложение действительно достоверно.

Между тем, согласно нашему законодательству данные реестров акционеров являются закрытой информацией, раскрывать которую эмитент обязан лишь в строго определенных случаях и в ограниченном объеме. Такая закрытость оправдана тем, что все акции в России существуют не в бумажном виде, а в виде записей на счетах в реестре. Располагая же персональными данными акционера, можно списать его акции по поддельной доверенности, что весьма распространено в российской «предпринимательской практике». Пострадать от таких действий может не только акционер, но и эмитент, который должен будет возместить своему совладельцу ущерб. Что касается акций небольших компаний, то раскрытие персональных данных их акционеров может стать хорошим подспорьем для недружественного поглощения. Таким образом, предлагаемая база является действительно ценным и чрезвычайно опасным товаром. По сведениям из компетентных источников, ее реальная стоимость составляет около 100 тыс. долларов и именно эту цену уже заплатили за нее ранее серьезные покупатели. В конце октября база, судя по всему, продавалась уже второй раз.

Не успели улечься страсти вокруг базы «НИКойла», как общественность была второй раз шокирована: спустя всего неделю в продажу поступила база «Налоговая инспекция – 2004», содержащая, как легко догадаться, информацию о доходах москвичей за 2004 год. Рекламное письмо (спам) с предложением купить за 3 тыс. рублей этот контрафактный DVD-диск было разослано многим жителям Москвы и Подмосковья. Однако на практике оказалось, что продаваемая с рук база стоит несколько дешевле своего аналога в Интернете – всего 1,4 тыс. рублей. Всего в базе содержалось более 9,9 млн. справок о доходах за 2004 г. с помесячной разбивкой, сведениями о месте работы, реквизитами и адресами налогоплательщиков.

Следует отметить, что эти два инцидента вызывали глубокий общественный резонанс. Не остались в стороне политики, пресса и граждане. Спецслужбы также среагировали, но уже на второй инцидент с «налоговой» базой. Как свидетельствует пресс-релиз, ФСБ и УБЭП ГУВД города Москвы одновременно провели серию обысков «в ключевых точках сбыта, на съемных квартирах и в других установленных помещениях, где участниками организованной преступной группы производилась и реализовывалась нелегальная продукция». Обыски проводились в рамках уголовного дела, возбужденного по ст. 173 УК («лжепредпринимательство») и ст. 183 УК («незаконное получение и разглашение сведений, содержащих коммерческую, налоговую и банковскую тайну»). Представители ФСБ и ГУВД не назвали дату возбуждения этого дела, но его расследование ведет Главное следственное управление ГУВД Москвы.

Пресс-служба ФСБ сообщила, что информация, которую тиражировали преступники, «согласно ст. 102 Налогового кодекса Российской Федерации составляет налоговую тайну». Судя по всему, в данном случае действия силовых структур были направлены не на выявление источника утечки, а на устранение последствий вопиющего нарушения закона.

Довольно сложно объективно оценить эффективность проведенной ФСБ операции, так как на следующий день после оперативно-следственных мероприятий базы по-прежнему были доступны каждому желающему. Однако далеко не факт, что именно полное пресечение распространения упомянутой базы было целью операции.

Интересен тот факт, что представители Федеральной налоговой службы и Пенсионного фонда категорически отрицают, что утечка информации могла произойти именно из их ведомства. Между тем, заявление ФСБ содержит упоминание того, где предположительно следует искать источник утечки: «Указанные информационные массивы содержат в себе данные, предположительно похищенные из систем персонифицированного учета ФНС России и возможно других органов финансового контроля». Поэтому в настоящий момент сотрудники силовых структур работают в вычислительных центрах Федеральной налоговой службы и Пенсионного фонда, сверяя оказавшиеся в продаже данные с базами этих ведомств.

«Действия правоохранительных органов вполне логичны. Во-первых, устранить все последствия утечки и пресечь распространение информации невозможно, так что разумно попытаться хотя бы частично воспрепятствовать массовому тиражированию. Во-вторых, ведомства, из которых предположительно произошла утечка, всячески отрицают свою причастность к инциденту. Более того, они не обладают необходимой инфраструктурой не только для предотвращения утечки чувствительных данных, но и для пассивного мониторинга, который бы позволил установить, кто, когда и что делал с конфиденциальной информацией. Таким образом, выявить источник утечки прямо «на месте» нереально. Приходится разматывать клубок с другого конца», - считает Денис Зенкин, директор по маркетингу компании InfoWatch.

Как бы то ни было, задержав преступников, имеющих отношение к действительно массовому тиражированию базы, вполне возможно выйти на реальный источник утечки. Например, сразу после спецоперации в прессе начала распространяться информация, что несколько человек, занимавшихся производством и оптовой продажей контрафактной базы и задержанных в ходе операции, теперь утверждают, что купили сведения у неких чиновников за 2,5 млн. долларов. Правда, никто из сотрудников налоговых и иных органов, имеющих доступ к такой информации, пока не задержан.

Если ФСБ сможет установить виновных, то госслужащим, нарушившим принятое обязательство не разглашать секретные сведения, будет грозить от 3 до 10 лет лишения свободы. Но единственным громким делом в этой области было “дело статистиков”: после нескольких лет следствия в прошлом году Мосгорсуд приговорил бывшего главу Госкомстата России Юрия Юркова и бывшего директора вычислительного центра этого ведомства Бориса Саакяна к 4,5 и 4 годам лишения свободы за торговлю статистическими данными.

Таким образом, следы от «налоговой» базы снова ведут к инсайдерам. В целом же на 2005 год выпало целых 4 громких утечки, в то время как в предыдущие годы дело ограничивалось лишь одной или двумя.

Защита приватных данных

Вряд ли можно обвинить в некомпетентности специалистов ФСБ, расследовавших громкие утечки. Как уже упоминалось выше, если в организации нет соответствующей инфраструктуры, то вычислить источник утечки практически невозможно. При этом, как показывает последняя статистика, такой инфраструктуры действительно нет.

В рамках исследования «Внутренние ИТ-угрозы в России 2004» компания InfoWatch опросила около 400 российских организаций (из них около 60 являлись представителями министерств и ведомств). Лишь 1% респондентов использует технические продукты для борьбы с утечками, хотя 87% считают их самым эффективным средством решения проблемы. Более того, 68% организаций вообще не предпринимают никаких мер для защиты своих чувствительных цифровых активов, а оставшиеся 32% в большинстве своем принимают меры лишь для ограничения связи с внешними сетями, как таковыми.

InfoWatch

InfoWatch

«Бороться с утечками можно», - считает Вячеслав Лупанов. «Сегодня конфиденциальные сведения воруют инсайдеры, которые могут скопировать их себе на любой носитель (CD, DVD, USB-карты, дискеты) или даже распечатать на принтере и спокойно вынести за пределы офиса для передачи третьим лицам, либо использовать в своих личных интересах. Еще один способ «выноса» информации – отправка конфиденциальных файлов по электронной почте, как с использованием корпоративного почтового сервера, так и при помощи бесплатных почтовых систем (типа Mail.ru, Pochta.ru и др.), которые в последнее время приобрели очень большую популярность», - добавляет эксперт.

Таким образом, обеспечить защиту приватных и конфиденциальных сведений можно. Для этого существуют специальные технологии и решения, однако организации их попросту не используют.

Между тем, государственные структуры и крупные коммерческие организации могли бы не только существенно упростить работу правоохранительных органов, но и вообще предотвратить утечку чувствительных данных и вызванные этим прямые финансовые убытки и потерю репутации. Для этого необходима лишь соответствующая мотивировка. Правда, как уже говорилось выше, у многих государственных образований не хватает как раз достойного стимула.

В заключение хотелось бы добавить, что если текущая тенденция увеличения числа громких утечек и безнаказанности подобных преступлений сохранится, то такие понятия как «частная жизнь», «приватные» и «личные сведения» просто исчезнут из нашего лексикона.                                                             CNEWS.RU